JP4193896B2 - Communication abnormality detection device - Google Patents
Communication abnormality detection device Download PDFInfo
- Publication number
- JP4193896B2 JP4193896B2 JP2006310205A JP2006310205A JP4193896B2 JP 4193896 B2 JP4193896 B2 JP 4193896B2 JP 2006310205 A JP2006310205 A JP 2006310205A JP 2006310205 A JP2006310205 A JP 2006310205A JP 4193896 B2 JP4193896 B2 JP 4193896B2
- Authority
- JP
- Japan
- Prior art keywords
- unit
- abnormality detection
- information
- sampling
- sampling method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims description 139
- 230000005856 abnormality Effects 0.000 title claims description 121
- 238000004891 communication Methods 0.000 title claims description 118
- 238000000034 method Methods 0.000 claims description 179
- 238000005070 sampling Methods 0.000 claims description 164
- 238000000605 extraction Methods 0.000 claims description 57
- 238000004458 analytical method Methods 0.000 claims description 54
- 238000007405 data analysis Methods 0.000 claims description 23
- 239000000284 extract Substances 0.000 claims description 15
- 238000009825 accumulation Methods 0.000 claims description 9
- 238000006243 chemical reaction Methods 0.000 claims description 5
- 108010076504 Protein Sorting Signals Proteins 0.000 description 12
- 238000010586 diagram Methods 0.000 description 10
- 238000009434 installation Methods 0.000 description 8
- 238000012806 monitoring device Methods 0.000 description 4
- 239000000203 mixture Substances 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000007423 decrease Effects 0.000 description 2
- 238000012351 Integrated analysis Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0823—Errors, e.g. transmission errors
- H04L43/0847—Transmission error
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/022—Capturing of monitoring data by sampling
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Description
本発明は、通信網上から到来するパケット信号に含まれる情報を解析し、当該通信網における異常発生を検知する通信異常検知装置に関する。 The present invention relates to a communication abnormality detection apparatus that analyzes information included in a packet signal that arrives from a communication network and detects an abnormality in the communication network.
インターネット等の通信網の拡大や通信量の増加に伴い、通信網に接続されるコンピュータへのいわゆるワームなどの悪意を持ったプログラムの感染や、ワームに感染した複数のコンピュータが特定のサーバに対して攻撃するDDos(Distributed Denial of Service)攻撃などが問題となっている。これらの問題への対策として近年、通信網の異常を検知するための装置を通信網上の特定の場所に設置し、パケット信号に含まれる情報を長期に亘って取得する方法が用いられるようになった。この方法では,長期に亘って取得した情報を解析し当該解析により得られた結果から平常時の通信状態を把握し、平常時の通信状態に基づいて通信網における異常発生を検知するなどの手段が用いられる。 Along with the expansion of communication networks such as the Internet and the increase in communication volume, infection of malicious programs such as so-called worms to computers connected to communication networks, and multiple computers infected by worms against specific servers DDos (Distributed Denial of Service) attack that attacks is a problem. In recent years, as a countermeasure against these problems, a method of installing a device for detecting an abnormality in a communication network at a specific location on the communication network and acquiring information contained in a packet signal over a long period of time has been used. became. In this method, means such as analyzing information acquired over a long period of time, grasping the normal communication state from the result obtained by the analysis, and detecting the occurrence of an abnormality in the communication network based on the normal communication state. Is used.
例えば、通信網上に通信される情報を監視するための監視装置を通信網上の広範囲に設置し、これらの監視装置が探知した情報を統合的に解析することにより通信網上の異常を検知する技術が非特許文献1に開示されている。
しかしながら非特許文献1に開示される技術においては当該文献の4.1.1項に示されるように、通信網上における異常を検知するために監視装置が直前に得た統計データと一週間前に得た統計データとに基づいて異常発生の検知解析を行っている。そのため、監視装置を通信網上に設置してから少なくとも一週間程度、通信情報を蓄積する必要があり、その間は通信網における異常発生を検知できないという問題があった。
However, in the technique disclosed in
また、一般に通信網の接続構成などが変更された場合、変更前までの監視により得られた平常時の通信状態と変更後の通信状態とが異なるため、実際には正常であるにもかかわらず異常が発生したという解析結果を示し続けるという問題点があった。 In general, when the connection configuration of the communication network is changed, the normal communication state obtained by monitoring before the change is different from the communication state after the change, so it is actually normal. There was a problem of continuing to show the analysis result that an abnormality occurred.
本発明は上記した如き問題点に鑑みてなされたものであって、通信網上に設置後、短期間で通信網の異常発生を検知可能な装置を提供することを目的とする。 The present invention has been made in view of the above-described problems, and an object of the present invention is to provide an apparatus capable of detecting occurrence of an abnormality in a communication network in a short period of time after installation on the communication network.
また、本発明は、通信網の接続構成などが変更された場合においても、早期に正しい検知結果を示すことが可能な装置を提供することを目的とする。 Another object of the present invention is to provide an apparatus capable of showing a correct detection result at an early stage even when the connection configuration of a communication network is changed.
本発明による通信異常検知装置は、通信網から到来するパケット信号を順次、受信するパケット受信部と、供給されるサンプリング手法に基づいて、前記パケット受信部が受信したパケット信号を順次、選別し、当該選別したパケット信号に含まれる付随情報を抽出するサンプリング部と、前記サンプリング部が抽出した付随情報を蓄積する情報蓄積部と、データ解析手法に基づいて前記情報蓄積部に蓄積されている付随情報を解析し、前記通信網における異常発生の検知処理をなす異常検知処理部とを含む通信異常検知装置であって、前記情報蓄積部に蓄積されている付随情報の蓄積量が所定量に達した場合、サンプリング手法を前記サンプリング部に、当該サンプリング手法に対応したデータ解析手法を前記異常検知処理部にそれぞれ供給するトリガー部を含むことを特徴とする。 The communication abnormality detection device according to the present invention sequentially selects packet signals received by the packet reception unit based on a sampling method supplied and a packet reception unit that sequentially receives packet signals coming from a communication network, A sampling unit for extracting accompanying information contained in the selected packet signal, an information storage unit for storing accompanying information extracted by the sampling unit, and accompanying information stored in the information storage unit based on a data analysis technique And an abnormality detection processing unit that performs an abnormality detection process in the communication network, and the amount of incidental information accumulated in the information accumulation unit has reached a predetermined amount In this case, a sampling method is provided to the sampling unit, and a data analysis method corresponding to the sampling method is provided to the abnormality detection processing unit. Characterized in that it comprises a trigger unit for.
また、本発明による通信異常検知装置は、通信網から到来するパケット信号を順次、受信するパケット受信部と、供給されるサンプリング手法及び情報抽出間隔に基づいて、前記パケット受信部が受信したパケット信号を順次、選別し、当該選別したパケット信号に含まれる付随情報を抽出するサンプリング部と、前記サンプリング部が抽出した付随情報を蓄積する情報蓄積部と、データ解析手法に基づいて前記情報蓄積部に蓄積されている付随情報を解析し、前記通信網における異常発生の検知処理をなす異常検知処理部とを含む通信異常検知装置であって、サンプリング手法を前記サンプリング部に、当該サンプリング手法に対応したデータ解析手法を前記異常検知処理部にそれぞれ供給するトリガー部と、前記情報蓄積部に蓄積されている付随情報の蓄積量が所定量に達する毎に、情報抽出間隔を前記サンプリング部に供給する解析制御部を含むことを特徴とする。 Further, the communication abnormality detection device according to the present invention includes a packet receiver that sequentially receives packet signals coming from a communication network, and a packet signal received by the packet receiver based on a supplied sampling method and information extraction interval. Are sequentially selected, the sampling unit that extracts the accompanying information included in the selected packet signal, the information storage unit that stores the accompanying information extracted by the sampling unit, and the information storage unit based on the data analysis method A communication abnormality detection apparatus including an abnormality detection processing unit that analyzes accumulated information and performs an abnormality detection process in the communication network, wherein the sampling method corresponds to the sampling method. Trigger units that supply data analysis techniques to the abnormality detection processing unit, and That each accumulated amount of accompanying information reaches a predetermined amount, the information extraction interval, characterized in that it comprises an analysis controller for supplying to said sampling unit.
以下、本発明に係る実施例について添付の図面を参照しつつ詳細に説明する。 Hereinafter, embodiments according to the present invention will be described in detail with reference to the accompanying drawings.
図1は、本発明による通信異常検知装置10を表すブロック図である。
FIG. 1 is a block diagram showing a communication
通信異常検知装置10は、パケット受信部1と、サンプリング部2と、情報蓄積部3と、異常検知処理部4と、入力部5と、トリガー部6とを含む。
The communication
パケット受信部1は、通信網(図示せず)からパケット信号を順次、受信し、当該受信したパケット信号をサンプリング部2に順次、供給する。
The
サンプリング部2は、パケット受信部1から供給されるパケット信号を、トリガー部6から供給されたサンプリング条件に基づいて順次、選別し、当該選別したパケット信号に含まれる付随情報を抽出する。続いて、サンプリング部2は、抽出された付随情報を情報蓄積部3に供給する。同時に、サンプリング部2は、付随情報を情報蓄積部3に供給した旨をトリガー部6に通知する。
The
情報蓄積部3は、サンプリング部2から供給される付随情報を順次、蓄積する。情報蓄積部3は、少なくとも異常発生の検知処理に利用される分の付随情報を一定期間、蓄積している。なお、異常発生の検知処理に利用されない付随情報は破棄されても良い。また、情報蓄積部3は、異常検知処理部4からの要求に応じて付随情報を異常検知処理部4に供給する。
The
異常検知処理部4は、トリガー部6から発せられる検知処理の開始指令に応じて、情報蓄積部3に付随情報の供給を要求する。続いて、異常検知処理部4は、トリガー部6から供給されたデータ解析手法に基づいて情報蓄積部3から供給される付随情報を解析し、通信網(図示せず)における異常発生の検知処理を行う。
The abnormality
入力部5は、通信異常検知装置10の管理者や通信状態の監視者などが入力する検知処理の解除入力及び付随情報を変換する際の変換範囲入力を受け入れる。
The
トリガー部6は、付随情報を情報蓄積部3に供給した旨をサンプリング部2から通知される毎に検知処理の開始指令を異常検知処理部4に発する。通常、トリガー部6は、初期設定時に初期サンプリング手法をサンプリング部2に、当該初期サンプリング手法に対応したデータ解析手法を異常検知処理部4にそれぞれ供給する。初期設定は例えば通信異常検知装置10が通信網上に設置されたときなどに行われる。また、トリガー部6は、情報蓄積部3に蓄積されている付随情報の蓄積量が所定量に達した場合に、初期サンプリング手法と異なる標準サンプリング手法をサンプリング部2に、当該標準サンプリング手法に対応したデータ解析手法を異常検知処理部4にそれぞれ供給する。ここでの所定量は少なくとも標準サンプリング手法による解析が可能となる量以上の量である。また、所定量はトリガー部6に予め記憶されている。通常、サンプリング手法の供給と同時に関連する変数なども併せてサンプリング部2に供給する。本実施例においては、初期サンプリング手法をパケットカウントベースサンプリング(packetcount-based sampling)手法、標準サンプリング手法を時間ベースサンプリング(time-based sampling)手法とする。これら両手法は、IETF(Internet Engineering Task Force)のpsamp(Packet Sampling)ワーキンググループにおいて定義される標準的なサンプリング手法であれば良い。
The
図2は時間ベースサンプリング手法における付随情報の抽出期間の例を表す図である。X軸は経過時間、Y軸は抽出される付随情報量をそれぞれ表す。同図中のD1〜D8の各々はサンプリング部2が付随情報を抽出する期間を表す。ここでは仮にD1〜D8の各々において抽出される付随情報量は同量であるとする。同図中のS1〜S7の各々は抽出期間D1〜D2、D2〜D3、・・・、D7〜D8の各々の時間間隔を表す。抽出期間D1〜D8及び時間間隔S1〜S7は予めトリガー部6に記憶されており、トリガー部6はこれらを含むサンプリング条件をサンプリング部2に供給する。サンプリング部2は、D1〜D8の各々の抽出期間内に少なくとも1以上のパケット信号が含まれていれば、サンプリング条件に基づいて、パケット信号を順次、選別し、当該選別したパケット信号に含まれる付随情報を抽出する。ここでは、抽出期間D8において抽出された付随情報の解析を行うまでに、抽出期間D1〜D7の各々において抽出された付随情報が必要であるとする。
FIG. 2 is a diagram illustrating an example of an extraction period of accompanying information in the time-based sampling method. The X axis represents elapsed time, and the Y axis represents the amount of accompanying information extracted. Each of D1 to D8 in the figure represents a period during which the
図3はパケットカウントベースサンプリング手法における付随情報の抽出期間の例を表す図である。X軸は経過時間、Y軸は抽出される付随情報量をそれぞれ表す。同図中のD1〜D8の各々は少なくとも1以上のパケット信号からなる一連のパケット信号列であり、サンプリング部2が付随情報を抽出する期間を表す。ここでは仮にD1〜D8の各々において抽出される付随情報量は同量であるとする。同図中のS1はパケット信号列D1が通信異常検知装置10に到来してから、パケット信号列D2が通信異常検知装置10に到来するまでの時間間隔を表す。同様にS1〜S7の各々はパケット信号列D2が到来してからパケット信号列D3が到来するまで、パケット信号列D3が到来してからパケット信号列D4が到来するまで、・・・、パケット信号列D7が到来してからパケット信号列D8が到来するまでの時間間隔を表す。サンプリング部2は、パケット信号列D1〜D8の各々に含まれるパケット信号を、サンプリング条件に基づいて順次、選別し、当該選別したパケット信号に含まれる付随情報を抽出する。ここでは、抽出期間D8において抽出された付随情報の解析を行うまでに、パケット信号列D1〜D7の各々において抽出された付随情報が必要であるとする。
FIG. 3 is a diagram illustrating an example of an extraction period of accompanying information in the packet count-based sampling method. The X axis represents elapsed time, and the Y axis represents the amount of accompanying information extracted. Each of D1 to D8 in the figure is a series of packet signal sequences composed of at least one or more packet signals, and represents a period during which the
サンプリング部2が抽出する付随情報は例えば、パケット信号に含まれる通信プロトコルの情報などである。通信プロトコルの情報としてはTCP(Transmission Control Protocol)やUDP(User Datagram Protocol)などがある。この場合、異常検知処理部4は、例えば、情報蓄積部3に既に蓄積されている複数の通信プロトコル情報の各々の種類がTCPであるかUDPであるかを判別し、通信プロトコル情報の総量に占めるTCPおよびUDPの各々の構成比率を求めるなどの解析を行い、当該解析結果を通信網の平常状態における構成比率とする。続いて、異常検知処理部4は、例えば、前記情報蓄積部に蓄積された最新の付随情報を解析して当該解析結果を通信網の最新状態とし、当該平常状態における構成比率と解析された最新の構成比率とを比較して通信網における異常の度合いを求めるなどして異常発生の検知処理を行う。
The accompanying information extracted by the
時間ベースサンプリング手法が予め定められた時間間隔で付随情報の抽出を行うのに対して、パケットカウントベースサンプリング手法は、パケット信号列が到来する毎に付随情報の抽出を行うため、パケットカウントベースサンプリング手法を用いる方が、異常発生の検知処理を開始するまでに付随情報を抽出する期間が短期で済むという利点がある。異常発生の検知処理開始までの付随情報の抽出期間は、図2及び3に表される例においては時間間隔S1〜S7の合計で示される。図3に表されるパケットカウントベースサンプリング手法の方が、図2に表される時間ベースサンプリング手法に比較して時間間隔S1〜S7の合計量が小さい、すなわち、異常発生の検知処理開始までの付随情報の抽出期間が短い。 While the time-based sampling method extracts the accompanying information at a predetermined time interval, the packet count-based sampling method extracts the accompanying information every time a packet signal sequence arrives. The use of the method has an advantage that the period for extracting the accompanying information is short before the detection process of occurrence of abnormality is started. The accompanying information extraction period until the start of the abnormality occurrence detection process is indicated by the sum of the time intervals S1 to S7 in the examples shown in FIGS. The total amount of the time intervals S1 to S7 is smaller in the packet count-based sampling method shown in FIG. 3 than in the time-based sampling method shown in FIG. The extraction period of accompanying information is short.
また、過去に抽出された付随情報に基づいて通信網の平常状態を定め、当該定められた平常状態と抽出された最新の付随情報を比較することにより現状の通信状態が正常であるか否かを解析する場合、付随情報を抽出する時間間隔を適度な間隔にすることにより解析精度を高められる。そのため、短期間に到来するパケット信号列から付随情報の抽出を行うパケットカウントベースサンプリング手法よりも、予め定められた適度な時間間隔で付随情報の抽出を行う時間ベースサンプリング手法の方が異常発生の検知精度が高いという利点を有する。本実施例においては、上記した両手法の利点に鑑みて、通信異常検知装置10の設置時点においては早期に異常発生の検知処理を行うためにパケットカウントベースサンプリング手法を用い、予め記憶されている所定量以上のデータが蓄積されたら異常発生の検知精度向上のために時間ベースサンプリング手法に変更する。
Whether or not the current communication state is normal by determining the normal state of the communication network based on the accompanying information extracted in the past and comparing the determined normal state with the latest extracted accompanying information. , The accuracy of analysis can be improved by setting an appropriate time interval for extracting the accompanying information. Therefore, the time-based sampling method that extracts the incidental information at a predetermined appropriate time interval is more abnormal than the packet count-based sampling method that extracts the incidental information from the packet signal sequence that arrives in a short time. This has the advantage of high detection accuracy. In the present embodiment, in view of the advantages of both methods described above, at the time of installation of the communication
図4は、トリガー部6におけるサンプリング手法の変更ルーチンの例を表すフローチャートである。本実施例においては、トリガー部6は初期設定時にパケットカウントベースサンプリング手法をサンプリング部2に、当該手法に対応したデータ解析手法を異常検知処理部4にそれぞれ供給してあるとする。また、本実施例における初期設定は通信異常検知装置10が通信網上に設置された時点に行われるものとする。トリガー部6は、前記情報蓄積部に蓄積されている付随情報の蓄積量が所定量に達したか否かを判断する(S1)。当該判断は、例えば、付随情報を情報蓄積部3に供給した旨をサンプリング部2から通知される毎に行われる。ここでの所定量は少なくとも時間ベースサンプリング手法による解析が可能となる量以上の量である。トリガー部6は、情報蓄積部3に蓄積されている付随情報の蓄積量が予め記憶されている所定量に達すれば、時間ベースサンプリング手法をサンプリング部2に供給する(S2)。これと同時に、トリガー部6は、時間ベースサンプリング手法に対応したデータ解析手法を異常検知処理部4に供給する。トリガー部6は、入力部5が検知処理の解除入力を受け入れたら(S3)、これに応じて検知処理を一旦解除し、サンプリング部2にパケットカウントベースサンプリング手法を供給する(S4)。これと同時に、トリガー部6は、パケットカウントベースサンプリング手法に対応したデータ解析手法を異常検知処理部4に供給する。続いて、トリガー部6は、前記情報蓄積部に蓄積されている付随情報の蓄積量が所定量に達したか否かを判断する処理(S1)に戻る。なお、検知処理の解除入力は、サンプリング部2がパケットカウントベースサンプリング手法を用いて付随情報を抽出しているときに入力されても良い。この場合においてもトリガー部6は、検知処理を一旦解除し、サンプリング部2にパケットカウントベースサンプリング手法を供給する。
FIG. 4 is a flowchart showing an example of a sampling method changing routine in the
上記した処理において、サンプリング部2は、トリガー部6から時間ベースサンプリング手法を供給された場合は時間ベースサンプリング手法に基づいて、また、トリガー部6からパケットカウントベースサンプリング手法を供給された場合はパケットカウントベースサンプリング手法に基づいて、パケット受信部1から供給されるパケット信号を順次、選別し、当該選別したパケット信号に含まれる付随情報を抽出する。
In the processing described above, the
異常検知処理部4は、トリガー部6から時間ベースサンプリング手法を供給されたときに、パケットカウントベースサンプリング手法にて抽出されて情報蓄積部3に蓄積されている付随情報の全部または一部を、時間ベースサンプリング手法にて解析可能な形式の付随情報に変換する機能を有する。異常検知処理部4は、当該変換した付随情報と時間ベースサンプリング手法にて抽出されて情報蓄積部3に蓄積される付随情報とを解析し、通信網における異常発生の検知処理を行うことにより、情報蓄積部3に蓄積されている付随情報を有効利用することもできる。更に、通信異常検知装置10の管理者や通信状態の監視者などが付随情報を変換する際の変換範囲が入力部5に入力された場合、異常検知処理部4は、入力された変換範囲に基づいてパケットカウントベースサンプリング手法により抽出されて情報蓄積部3に蓄積されている付随情報の全部または一部を時間ベースサンプリング手法にて解析可能な形式の付随情報に変換できる。また、仮にパケットカウントベースサンプリング手法にて抽出されて情報蓄積部3に蓄積されている付随情報を時間ベースサンプリング手法にて解析可能な形式の付随情報に変換できない場合は、サンプリング部2が、パケットカウントベースサンプリング手法にて解析可能な形式で付随情報を抽出するのに平行して、通信異常検知装置10の設置時点から、時間ベースサンプリング手法にて解析可能な形式で付随情報を併せて抽出する。この場合、時間ベースサンプリング手法に切り替えた時点より、時間ベースサンプリング手法にて解析可能な形式で抽出した付随情報を利用することで、サンプリング手法を切り替えた時点から即座に異常発生の検知処理を行うことができる。
When the time-based sampling method is supplied from the
図5は、異常検知処理部4による付随情報の解析結果の例を表す図である。矢印の上側の図は、仮に通信異常検知装置10の設置時点から継続して時間ベースサンプリング手法を用いた場合の例である。矢印の下側の図は、通信異常検知装置10の設置時点においてはパケットカウントベースサンプリング手法を用い、予め記憶されている所定量以上の付随情報が蓄積されたら時間ベースサンプリング手法を用いる場合の例である。X軸が経過時間、Y軸が解析結果である異常の度合いをそれぞれ表す。また、通信異常検知装置10が通信網上に設置された時間を時間0とする。
FIG. 5 is a diagram illustrating an example of an analysis result of accompanying information by the abnormality
通信異常検知装置10の設置時点から継続して時間ベースサンプリング手法を用いた場合(同図中における矢印の上側の図)、異常発生の検知処理開始までの期間は同図中の期間A1となる。通信異常検知装置10の設置時点においてはパケットカウントベースサンプリング手法を用いた場合(同図中における矢印の下側の図)、異常発生の検知処理開始までの期間は同図中の期間A2となる。パケットカウントベースサンプリング手法は時間ベースサンプリング手法と比較して、通信異常検知装置10の設置から異常発生の検知処理開始までの付随情報の抽出期間が短期で済むため、同図中の期間A1に比較して短い期間A2で異常発生の検知処理を開始できる。また、予め記憶されている所定量以上のデータが蓄積されたら、パケットカウントベースサンプリング手法から時間ベースサンプリング手法に変更することにより解析精度の高い異常発生の検知処理を継続できる。
When the time-based sampling method is used continuously from the time of installation of the communication abnormality detection device 10 (the figure on the upper side of the arrow in the figure), the period until the abnormality detection process starts is the period A1 in the figure. . At the time of installation of the communication
図6は、検知処理の解除入力無しのとき及び解除入力有りのときの異常検知処理部4による付随情報の解析結果の例を表す図である。矢印の上側の図が検知処理の解除入力無しのとき、矢印の下側の図が検知処理の解除入力有りのときの例である。X軸が経過時間、Y軸が解析結果である異常の度合いをそれぞれ表す。また、通信網の接続構成などが変更された時間を同図中の時間Cとする。入力部5が検知処理の解除入力を受け入れた時点を同図中の時間Rとする。
FIG. 6 is a diagram illustrating an example of an analysis result of accompanying information by the abnormality
仮に通信網の接続構成などが変更された場合(同図中における矢印の上側の図)、構成変更前までの解析により得られた平常時の通信状態と構成変更後の通信状態とが異なるため、構成変更時点である時間C以降、実際には通信状態が正常であるにもかかわらず異常の度合いが大きい解析結果が示され続ける。通信異常検知装置10の管理者や通信状態の監視者などが通信網の接続構成などの変更を受けて、入力部5に検知処理の解除入力を行うと検知処理が一旦解除される。検知処理解除後、短期間で検知処理を再開するために、トリガー部6は、パケットカウントベースサンプリング手法をサンプリング部2に、パケットカウントベースサンプリング手法に対応したデータ解析手法を解析制御部7にそれぞれ供給する。この場合、図6中における矢印の下側の図に示されるように、時間R以降、パケットカウントベースサンプリング手法を用いた異常発生の検知処理が行われる。そのため、通信網の接続構成などが変更され、実際には通信状態が正常であるにもかかわらず異常の度合いが大きい解析結果を示され続けた場合においても、検知処理を一旦解除することにより、短期間で異常発生の検知処理を再開できる。
If the connection configuration of the communication network is changed (the figure above the arrow in the figure), the normal communication state obtained by the analysis before the configuration change and the communication state after the configuration change are different. After the time C when the configuration is changed, an analysis result having a large degree of abnormality continues to be displayed even though the communication state is actually normal. When an administrator of the communication
上記した如く、本発明によれば、通信異常検知装置を通信網上に設置後、短期間で通信網の異常発生を検知可能である。また、本発明によれば、通信網の接続構成などが変更された場合にも、一旦、検知処理を解除し、早期に正しい検知結果を示すことが可能である。 As described above, according to the present invention, it is possible to detect the occurrence of an abnormality in the communication network in a short period of time after the communication abnormality detection device is installed on the communication network. Further, according to the present invention, even when the connection configuration of the communication network is changed, it is possible to cancel the detection process once and show a correct detection result at an early stage.
図7は、解析制御部7を更に含む本発明による通信異常検知装置10を表すブロック図である。なお、解析制御部7以外のブロックは実施例1と同一であるため、ここでは説明を省略する。
FIG. 7 is a block diagram showing a communication
解析制御部7はサンプリング部2に接続されており、これにパケット信号の情報抽出間隔を供給する。先ず、情報抽出間隔は通信異常検知装置10の設置時等の初期設定段階においてサンプリング部2に供給される。通常、このときサンプリング部2に供給される情報抽出間隔は付随情報の解析を早期に開始するために比較的狭い間隔である。また、解析制御部7は、情報蓄積部3に蓄積されている付随情報の蓄積量が所定量に達する毎に、情報抽出間隔をサンプリング部2に供給する。通常、このときサンプリング部2に供給される情報抽出間隔は直前に供給された情報抽出間隔よりも広い間隔である。なお、解析制御部7は少なくとも1以上の所定量及び情報抽出間隔を予め記憶しておく。解析制御部7は情報蓄積部3にも接続されており、これに蓄積されている付随情報の蓄積量に基づいて情報抽出間隔をサンプリング部2に供給する。また、解析制御部7は比較的狭い情報抽出間隔にて抽出されて既に情報蓄積部3に蓄積されている付随情報を結合するなどして、情報抽出間隔の拡大後に利用できる形態に変換する。また、解析制御部7はトリガー部6に接続されており、これに情報抽出間隔及び付随情報の解析タイミングを通知する。
The analysis control unit 7 is connected to the
図8は、解析制御部7における情報抽出間隔の変更ルーチンの例を表す図である。本実施例においてもトリガー部6は、通信異常検知装置10の設置時に、パケットカウントベースサンプリング手法をサンプリング部2に、当該手法に対応したデータ解析手法を異常検知処理部4にそれぞれ供給してあるとする。
FIG. 8 is a diagram illustrating an example of an information extraction interval changing routine in the analysis control unit 7. Also in this embodiment, the
解析制御部7は、情報蓄積部3に蓄積されている付随情報の蓄積量が予め記憶されている所定量に達したか否かを判断する(T1)。この処理は例えば、サンプリング部2が付随情報を抽出する毎に、解析制御部7が情報蓄積部3に蓄積されている付随情報の蓄積量と予め記憶されている所定量とを所定量の小さいものから順に比較することによりなされる。解析制御部7は、付随情報の蓄積量が当該所定量に達すれば(T1)、直前にサンプリング部2に供給した情報抽出間隔よりも広い情報抽出間隔をサンプリング部2に供給する(T2)。供給される情報抽出間隔は解析精度が大幅に低下しない程度の間隔である。また、解析制御部7は、付随情報の情報抽出間隔を拡大する時に、当該拡大前の間隔にて抽出され既に情報蓄積部3に蓄積されている付随情報を当該情報抽出間隔の拡大後に利用できる形態に変換する(T3)。また、情報抽出間隔が広くなり過ぎると解析精度が低下するため、解析制御部7は、情報抽出間隔を適度な間隔まで拡大したら(T4)、情報抽出間隔の拡大を停止する。情報抽出間隔が上限まで拡大されていない場合は(T4)、付随情報の蓄積量が所定量に達したか否かを判断する処理(T1)に戻る。情報抽出間隔の上限値は予め解析制御部7に記憶されている。サンプリング部2は、上記した処理によって解析制御部7から情報抽出間隔を供給されることにより、抽出間隔を段階的に拡大しながら付随情報を抽出できる。
The analysis control unit 7 determines whether or not the amount of accompanying information stored in the
図8に示した処理に引き続いて実施例1と同様にトリガー部6は、情報蓄積部3に蓄積されている付随情報の蓄積量が所定量に達した場合に、時間ベースサンプリング手法をサンプリング部2に、当該手法に対応したデータ解析手法を異常検知処理部4にそれぞれ供給する。当該所定量は通常、情報抽出間隔を拡大する際に用いられる所定量よりも大きい量に設定されている。このとき異常検知処理部4は実施例1と同様に、パケットカウントベースサンプリング手法にて抽出されて情報蓄積部3に蓄積されている付随情報の全部または一部を、時間ベースサンプリング手法にて解析可能な形式の付随情報に変換する。なお、情報抽出間隔の変更処理終了後から時間ベースサンプリング手法を用いた解析に必要な量の付随情報が蓄積されるまでの間、解析制御部7は抽出間隔の変更処理は行わず、トリガー部6に解析タイミングを通知するなどの処理を実行している。
Subsequent to the processing shown in FIG. 8, as in the first embodiment, the
実施例1と同様に通信網の接続構成などが変更された場合に通信異常検知装置10の管理者や通信状態の監視者などが入力部5に検知処理の解除入力を行うと検知処理が一旦解除される。解除後、付随情報の抽出処理を再開した時点では、上記した処理と同様に、解析制御部7は、比較的狭い間隔の情報抽出間隔をサンプリング部2に供給し、付随情報の蓄積量の増加に応じて段階的に拡大した抽出間隔をサンプリング部2に供給する。
As in the first embodiment, when the connection configuration of the communication network is changed, when the administrator of the communication
付随情報の抽出間隔が短い程、解析に必要な分の付随情報を短期間に蓄積することができ、早期に異常発生の検知処理を開始できる。しかし、蓄積期間が長期に亘る場合、付随情報の量が情報蓄積部3に蓄積可能な量を超過するおそれがある。上記した如く、付随情報抽出の初期段階においては狭い抽出間隔で付随情報を抽出することにより早期に検知処理の開始が可能であり、情報抽出間隔を広げても解析精度が落ちない程度の付随情報が蓄積されたら、付随情報の抽出間隔を拡大することにより、情報蓄積部3に蓄積される付随情報量を抑制しつつ解析精度を保ちながら検知処理を継続することが本発明において可能である。
As the incident information extraction interval is shorter, the incident information necessary for the analysis can be accumulated in a shorter time, and the abnormality detection process can be started earlier. However, when the accumulation period is long, the amount of accompanying information may exceed the amount that can be accumulated in the
上記した如く、本実施例によれば、通信異常検知装置を通信網上に設置後、より短期間で通信網の異常発生を検知することが本発明において可能である。また、本実施例によれば、通信網の接続構成などが変更された場合にも、一旦、検知処理を解除し、より早期に正しい検知結果を示すことが本発明において可能である。 As described above, according to the present embodiment, it is possible in the present invention to detect the occurrence of an abnormality in the communication network in a shorter period of time after the communication abnormality detection device is installed on the communication network. Further, according to the present embodiment, even when the connection configuration of the communication network is changed, it is possible in the present invention to once cancel the detection process and show a correct detection result earlier.
1 パケット受信部
2 サンプリング部
3 情報蓄積部
4 異常検知処理部
5 入力部
6 トリガー部
7 解析制御部
10 通信異常検知装置
DESCRIPTION OF
Claims (13)
供給されるサンプリング手法に基づいて、前記パケット受信部が受信したパケット信号を順次、選別し、当該選別したパケット信号に含まれる付随情報を抽出するサンプリング部と、
前記サンプリング部が抽出した付随情報を蓄積する情報蓄積部と、
データ解析手法に基づいて前記情報蓄積部に蓄積されている付随情報を解析し、前記通信網における異常発生の検知処理をなす異常検知処理部とを含む通信異常検知装置であって、
前記情報蓄積部に蓄積されている付随情報の蓄積量が所定量に達した場合、サンプリング手法を前記サンプリング部に、当該サンプリング手法に対応したデータ解析手法を前記異常検知処理部にそれぞれ供給するトリガー部を含むことを特徴とする通信異常検知装置。 A packet receiver for sequentially receiving packet signals coming from the communication network;
A sampling unit that sequentially sorts the packet signals received by the packet reception unit based on the supplied sampling method, and extracts accompanying information included in the selected packet signal;
An information storage unit for storing accompanying information extracted by the sampling unit;
Analyzing incidental information stored in the information storage unit based on a data analysis method, a communication abnormality detection device including an abnormality detection processing unit that performs detection processing of abnormality occurrence in the communication network,
Trigger for supplying a sampling method to the sampling unit and a data analysis method corresponding to the sampling method to the abnormality detection processing unit when the amount of incidental information stored in the information storage unit reaches a predetermined amount The communication abnormality detection apparatus characterized by including a part.
前記情報蓄積部に蓄積されている付随情報の蓄積量が所定量に達した場合、標準サンプリング手法を前記サンプリング部に、当該標準サンプリング手法に対応したデータ解析手法を前記異常検知処理部にそれぞれ供給する標準サンプリング設定手段と含むを特徴とする請求項1に記載の通信異常検知装置。 The trigger unit is an initial sampling setting means for supplying an initial sampling method to the sampling unit at the time of initial setting, and a data analysis method corresponding to the initial sampling method to the abnormality detection processing unit, respectively.
When the amount of incidental information stored in the information storage unit reaches a predetermined amount, a standard sampling method is supplied to the sampling unit, and a data analysis method corresponding to the standard sampling method is supplied to the abnormality detection processing unit. The communication abnormality detection device according to claim 1, further comprising: a standard sampling setting unit that performs.
前記トリガー部は、解除入力に応じて一旦検知処理を解除し、前記サンプリング手法を前記サンプリング部に、当該サンプリング手法に対応したデータ解析手法を前記異常検知処理部にそれぞれ供給する手段を含むことを特徴とする請求項1に記載の通信異常検知装置。 An input unit for receiving the detection process cancel input;
The trigger unit includes a unit that cancels the detection process in response to a cancel input, and supplies the sampling method to the sampling unit and a data analysis method corresponding to the sampling method to the abnormality detection processing unit. The communication abnormality detection device according to claim 1, wherein
当該変換した付随情報と前記標準サンプリング手法にて抽出されて前記情報蓄積部に蓄積される付随情報とを解析し、前記通信網における異常発生の検知処理をなすことを特徴とする請求項2に記載の通信異常検知装置。 When the abnormality detection processing unit is supplied with a data analysis method corresponding to the standard sampling method from the trigger unit, all of the accompanying information extracted by the initial sampling method and stored in the information storage unit or Means for converting a part of the information into accompanying information in a format that can be analyzed by a data analysis method corresponding to the standard sampling method,
3. The detection of occurrence of abnormality in the communication network is performed by analyzing the converted accompanying information and the accompanying information extracted by the standard sampling method and stored in the information storage unit. The communication abnormality detection device described.
前記異常検知処理部は、前記変換範囲に基づいて前記初期サンプリング手法にて抽出されて前記情報蓄積部に蓄積されている付随情報の全部または一部を前記標準サンプリング手法に対応したデータ解析手法にて解析可能な形式の付随情報に変換することを特徴とする請求項4に記載の通信異常検知装置。 An input unit that accepts a conversion range of accompanying information stored in the information storage unit;
The abnormality detection processing unit converts all or part of the accompanying information extracted by the initial sampling method based on the conversion range and stored in the information storage unit into a data analysis method corresponding to the standard sampling method. The communication abnormality detection device according to claim 4, wherein the communication abnormality detection device converts the incident information into a format that can be analyzed by the analysis.
供給されるサンプリング手法及び情報抽出間隔に基づいて、前記パケット受信部が受信したパケット信号を順次、選別し、当該選別したパケット信号に含まれる付随情報を抽出するサンプリング部と、
前記サンプリング部が抽出した付随情報を蓄積する情報蓄積部と、
データ解析手法に基づいて前記情報蓄積部に蓄積されている付随情報を解析し、前記通信網における異常発生の検知処理をなす異常検知処理部とを含む通信異常検知装置であって、
サンプリング手法を前記サンプリング部に、当該サンプリング手法に対応したデータ解析手法を前記異常検知処理部にそれぞれ供給するトリガー部と、
前記情報蓄積部に蓄積されている付随情報の蓄積量が所定量に達する毎に、情報抽出間隔を前記サンプリング部に供給する解析制御部を含むことを特徴とする通信異常検知装置。 A packet receiver for sequentially receiving packet signals coming from the communication network;
A sampling unit that sequentially sorts the packet signals received by the packet receiving unit based on the supplied sampling method and information extraction interval, and extracts accompanying information included in the selected packet signal;
An information storage unit for storing accompanying information extracted by the sampling unit;
Analyzing incidental information stored in the information storage unit based on a data analysis method, a communication abnormality detection device including an abnormality detection processing unit that performs detection processing of abnormality occurrence in the communication network,
A trigger unit that supplies a sampling method to the sampling unit, and a data analysis method corresponding to the sampling method to the abnormality detection processing unit, and
A communication abnormality detection apparatus comprising: an analysis control unit that supplies an information extraction interval to the sampling unit every time the amount of incidental information stored in the information storage unit reaches a predetermined amount.
前記解析制御部は、解除入力に応じて一旦検知処理を解除し、情報抽出間隔を前記サンプリング部に供給する手段を更に含むことを特徴とする請求項8に記載の通信異常検知装置。 An input unit for receiving the detection process cancel input;
The communication abnormality detection device according to claim 8, wherein the analysis control unit further includes a unit that cancels the detection process in response to a cancel input and supplies an information extraction interval to the sampling unit.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006310205A JP4193896B2 (en) | 2006-11-16 | 2006-11-16 | Communication abnormality detection device |
| US11/984,013 US8219889B2 (en) | 2006-11-16 | 2007-11-13 | Communication error detection apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006310205A JP4193896B2 (en) | 2006-11-16 | 2006-11-16 | Communication abnormality detection device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008131075A JP2008131075A (en) | 2008-06-05 |
| JP4193896B2 true JP4193896B2 (en) | 2008-12-10 |
Family
ID=39418289
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006310205A Active JP4193896B2 (en) | 2006-11-16 | 2006-11-16 | Communication abnormality detection device |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US8219889B2 (en) |
| JP (1) | JP4193896B2 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7226008B2 (en) * | 2019-03-26 | 2023-02-21 | オムロン株式会社 | Management device, support device, management method, management program and recording medium |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6988236B2 (en) * | 2000-04-07 | 2006-01-17 | Broadcom Corporation | Method for selecting frame encoding parameters in a frame-based communications network |
-
2006
- 2006-11-16 JP JP2006310205A patent/JP4193896B2/en active Active
-
2007
- 2007-11-13 US US11/984,013 patent/US8219889B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US8219889B2 (en) | 2012-07-10 |
| JP2008131075A (en) | 2008-06-05 |
| US20080120527A1 (en) | 2008-05-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20080060074A1 (en) | Intrusion detection system, intrusion detection method, and communication apparatus using the same | |
| EP1964366B1 (en) | Methods and devices for defending a 3g wireless network against malicious attacks | |
| WO2008042579A2 (en) | Targeted data collection architecture | |
| CN101635658B (en) | Method and system for detecting abnormality of network secret stealing behavior | |
| KR20140088340A (en) | APPARATUS AND METHOD FOR PROCESSING DDoS IN A OPENFLOW SWITCH | |
| JP4626811B2 (en) | Port hopping detection system, port hopping detection device, port hopping detection method, and program | |
| JP2015173406A (en) | Analysis system, analysis apparatus, and analysis program | |
| KR100994746B1 (en) | Hazardous Traffic Detection Method and System Using Pattern Matching Unit | |
| JP6502902B2 (en) | Attack detection device, attack detection system and attack detection method | |
| US9069962B2 (en) | Evaluation of a fast and robust worm detection algorithm | |
| JP4193896B2 (en) | Communication abnormality detection device | |
| JP6711452B2 (en) | Extraction device, extraction method, and program | |
| JP5531064B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM | |
| US10313374B2 (en) | Electronic apparatus and method | |
| JP7147635B2 (en) | Unauthorized transmission data detector | |
| JP4983287B2 (en) | Rule verification apparatus and rule verification method | |
| JP6792532B2 (en) | Anomaly detection device and abnormality detection method | |
| JP2020038525A (en) | Anomaly detection device | |
| CN117914507A (en) | Security processing device, method and electronic device for handling attacks | |
| JP5371096B2 (en) | Monitoring system, monitoring method, and program | |
| JP2009081736A (en) | Packet transfer apparatus and packet transfer program | |
| US20050081046A1 (en) | Network correction security system and method | |
| JP4898648B2 (en) | High packet rate flow online detection method, system therefor, and program therefor | |
| CN106657095B (en) | Method and system for identifying unknown remote control trojan horse | |
| JP4777366B2 (en) | Worm countermeasure program, worm countermeasure device, worm countermeasure method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080821 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080902 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080915 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4193896 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111003 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111003 Year of fee payment: 3 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111003 Year of fee payment: 3 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111003 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121003 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121003 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131003 Year of fee payment: 5 |